GB/T 40473.7-2021银行业应用系统非功能需求第7部分：安全性

ICS3524040

CCSA.11.

中华人民共和国国家标准

GB/T404737—2021

.

银行业应用系统非功能需求

第7部分安全性

:

Bankingapplicationsystem—Nonfunctionalrequirement—

Part7Securit

:y

2021-07-20发布2022-02-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T404737—2021

.

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

安全性元素与组件层次及描述方式

4……………………2

层次

4.1…………………2

描述方式

4.2……………8

保密性族

5(SE_CFD)……………………8

内部的非功能需求

5.1(NFIR)…………8

使用算法

5.1.1(ISE_CFD.1)…………8

访问控制

5.1.2(ISE_CFD.2)…………8

数据保密

5.1.3(ISE_CFD.3)…………9

处理保密

5.1.4(ISE_CFD.4)…………9

存储保密

5.1.5(ISE_CFD.5)…………9

通信保密

5.1.6(ISE_CFD.6)…………9

外部的非功能需求

5.2(NFOR)………………………10

安全需求的确定

5.2.1(OSE_CFD.1)………………10

运行环境保密

5.2.2(OSE_CFD.2)…………………10

运行网络保密

5.2.3(OSE_CFD.3)…………………11

完整性族

6(SE_ITG)……………………12

内部的非功能需求

6.1(NFIR)………………………12

网络协议完整性

6.1.1(ISE_ITG.1)………………12

本地数据完整性

6.1.2(ISE_ITG.2)………………12

外部的非功能需求

6.2(NFOR)………………………12

抗抵赖性族

7(SE_NRP)…………………13

内部的非功能需求

7.1(NFIR)………………………13

原发和接收证据

7.1.1(ISE_NRP.1)………………13

支持数字签名

7.1.2(ISE_NRP.2)…………………13

外部的非功能需求

7.2(NFOR)………………………13

可核查性族

8(SE_ACN)…………………13

内部的非功能需求

8.1(NFIR)………………………13

外部的非功能需求

8.2(NFOR)………………………14

运行环境审计

8.2.1(OSE_ACN.1)………………14

网络审计

8.2.2(OSE_ACN.2)……………………14

真实性族

9(SE_AUT)…………………15

Ⅰ

GB/T404737—2021

.

内部的非功能需求

9.1(NFIR)………………………15

用户划分与身份鉴别

9.1.1(ISE_AUT.1)…………15

登录保护

9.1.2(ISE_AUT.2)………………………16

数字证书

9.1.3(ISE_AUT.3)………………………16

数字令牌

9.1.4(ISE_AUT.4)………………………17

系统连接

9.1.5(ISE_AUT.5)………………………17

外部的非功能需求

9.2(NFOR)………………………17

附录资料性访问控制的类型

A()………………………18

访问控制的概念和基本类型

A.1……………………18

访问控制的机制

A.2…………………18

参考文献

……………………20

Ⅱ

GB/T404737—2021

.

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件是银行业应用系统非功能需求的第部分已经发布了以

GB/T40473《》7。GB/T40473

下部分

:

第部分描述框架

———1:;

第部分功能适宜性

———2:;

第部分性能效率

———3:;

第部分兼容性

———4:;

第部分易用性

———5:;

第部分可靠性

———6:;

第部分安全性

———7:;

第部分可维护性

———8:;

第部分可移植性

———9:。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由中国人民银行提出

。

本文件由全国金融标准化技术委员会归口

(SAC/TC180)。

本文件起草单位中国人民银行科技司中国农业银行股份有限公司中国外汇交易中心暨全国银

:、、

行间同业拆借中心中国人民银行清算总中心中国建设银行股份有限公司交通银行股份有限公司农

、、、、

信银资金清算中心有限责任公司中国金融电子化公司

、。

本文件主要起草人李伟杨富玉曲维民李宽王鹏马骏王锋杨明英葛洪慧崔婉旻赵刘韬

:、、、、、、、、、、、

叶旻梁军景芸王灿雍陆原鹏杨倩谢彦丽刘书元王思源

、、、、、、、、。

Ⅲ

GB/T404737—2021

.

引言

给出了银行业应用系统非功能需求的描述框架和各类银行业应用系统非功能需求的

GB/T40473

模板旨在提高银行业应用系统非功能需求的编制质量和效率降低编制银行业应用系统非功能需求的

,,

门槛和成本由九个部分组成

,。

第部分描述框架目的在于明确银行业应用系统的范畴确立银行业应用系统非功能需求

———1:。,

的描述框架阐明银行业应用系统非功能需求的标识和描述给出银行业应用系统非功能需求

,,

的定制包与定制轮廓提出对银行业应用系统非功能需求的技术管理与评价并给出银行业应

,,

用系统非功能需求的描述的方法是其余各部分阅读和应用的基础

XML,。

第部分功能适宜性目的在于给出包括功能完整性功能正确性和功能适合性的功能适宜

———2:。、

性需求这些需求从严谨的需求分类看可以看作是功能需求但在银行业应用系统的研发中

,,,,

往往被视作非功能需求

。

第部分性能效率目的在于给出包括时间特性资源利用和容量的性能效率需求

———3:。、。

第部分兼容性目的在于给出包括共存性和互操作性的兼容性

———4:。。

第部分易用性目的在于给出包括可辨识性易学性易操作性用户差错防御性用户界

———5:。、、、、

面舒适性和易访问性的易用性

。

第部分可靠性目的在于给出包括成熟性可用性容错性和易恢复性的可靠性

———6:。、、。

第部分安全性目的在于给出包括保密性完整性抗抵赖性可核查性和真实性的安

———7:。、、、

全性

。

第部分可维护性目的在于给出包括模块性可重用性易分析性易修改性和易测试性的

———8:。、、、

可维护性

。

第部分可移植性目的在于给出包括适应性易安装性和易替换性的可移植性

———9:。、。

当不考虑缩写和编号含义时本领域的技术人员基于本领域的专业知识可基本正确地理解本文件的

,,

实质性内容但在如下典型的情况下本文件的应用者宜先阅读并理解

。,GB/T40473.1—2021:

编制应用系统的非功能需求

———;

评审应用系统的非功能需求

———;

对应用系统按照非功能需求开发的系统进行验证和确认

———;

对应用系统按照非功能需求开发的系统进行静态和动态测试

———。

对按照本文件编制的非功能需求若以给出的形式描述会对非功能

,GB/T40473.1—2021XML,

需求带来传输和处理上更大便利

。

Ⅳ

GB/T404737—2021

.

银行业应用系统非功能需求

第7部分安全性

:

1范围

本文件界定了银行业应用系统安全性的概念规定了安全性元素与组件层次及描述方式安全性类

,、

保密性族完整性族抗抵赖性族可核查性族和真实性族非功能需求模板

、、、。

本文件适用于银行业各类应用系统对安全性类非功能需求的描述与银行业应用系统进行信息交

。

换的应用系统根据需要可参照使用

,。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

银行业应用系统非功能需求第部分描述框架

GB/T40473.1—20211:

3术语和定义